Wyjątkowy Problem!!!

IP: *.neoplus.adsl.tpnet.pl 01.07.05, 19:12
Historia z idiotycznymi restartami zaczęła się 2 tygodnie temu. Jednak zanim opowiem co i jak nadmienię że:
1. mam sp2 + aktualizacje na bieżąco
2. aktualizowany avast
3. outpost firewall
Więc po pierwsze 2 tygodnie temu zaczęło mi jakieś gówienko restartować komputer. Przejrzałem rejestr *run, runservices, shellobjectdelay itp i... nic nowego. Okej. Na firewallu zablokowałem widoczne za każdym połączeniem się do internetu dwa połączenia w moim kierunku z dwóch odmiennych numerów ip z neostrady (zablokowałem wszystkie neo 83.27.*.* na portach 1000-9000 gdyż połączenia były za każdym razem na innych portach). Na tydzień pomogło. Po tygodniu niestety objaw wrócił
Ciągłe restarty (drugi raz pisze tego posta! przez restart). Avast ani Kaspersky niczego nie wykrywają. Tak samo mks vir.
Co robić?
--cut--log z hijacka
Logfile of HijackThis v1.99.1
Scan saved at 19:53:17, on 2005-06-30
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
c:\programy\Avast4\aswUpdSv.exe
c:\programy\Avast4\ashServ.exe
G:\WINDOWS\system32\cisvc.exe
G:\WINDOWS\system32\hffsrv.exe
c:\kontrola\ODSP\ODSPHost_NT.exe
G:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe
G:\WINDOWS\System32\svchost.exe
c:\programy\Avast4\ashMaiSv.exe
c:\programy\Avast4\ashWebSv.exe
G:\WINDOWS\system32\cidaemon.exe
G:\WINDOWS\Explorer.EXE
G:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\programy\Avast4\ashDisp.exe
G:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programy\FlashGet\flashget.exe
G:\DOCUME~1\root\USTAWI~1\Temp\Katalog tymczasowy 2 dla hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.neostrada.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = www.google.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - G:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAMY\FLASHGET\jccatch.dll
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Outpost Firewall] G:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [WooCnxMon] G:\PROGRA~1\NEOSTR~1\CnxMon.ex2
O4 - HKLM\..\Run: [WOOWATCH] G:\PROGRA~1\NEOSTR~1\Watch.ex2
O4 - HKLM\..\Run: [WOOTASKBARICON] G:\PROGRA~1\NEOSTR~1\TaskbarIcon.ex2
O4 - HKLM\..\Run: [avast!] c:\programy\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON] g:\windows\servicepackfiles\j386\ctfmon.exe
O4 - HKCU\..\Run: [Outpost] G:\Program Files\Agnitum\Outpost Firewall 1.0\outpost.ex2
O4 - Global Startup: Microsoft Office.lnk = G:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: DSLMON.lnk = G:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Programy\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Programy\FlashGet\jc_link.htm
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMY\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMY\FLASHGET\flashget.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{DDAA59F3-C078-43E7-A8ED-AABCB4C6061D}: NameServer = 194.204.152.34 217.98.63.164
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - G:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - c:\programy\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - c:\programy\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - c:\programy\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - c:\programy\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Hide Files and Folders (HideFilesAndFolders_S) - Unknown owner - G:\WINDOWS\system32\hffsrv.exe
O23 - Service: ODSP Host Service (ODSP Host) - Unknown owner - c:\kontrola\ODSP\ODSPHost_NT.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - G:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe
O23 - Service: Cryptainer service (ssoftservice) - Unknown owner - ssoftsrv.exe (file missing)
    • neder Re: Wyjątkowy Problem!!! 01.07.05, 19:24
      log jest ok (tzn. nie mam pewności co do wpisu 017 więc z tym musisz poczekac na
      Kolobosa), ale jeśli chodzi o śmieci to ich nie masz. przyczyn restartowania się
      kompa może być wiele - przezde wszystkim pamięć, potem w kolejności zasilacz.
      Pamięć możesz sprawdzić programem memtest86
      forum.gazeta.pl/forum/72,2.html?f=34&w=15679891&a=18827953
      a jeśli to nie to to potem próbować z innym zasilaczem czy się też restartuje.


      może to też być temperatura płyty, procesora itepe itede. Przyczyn naprawde jest
      wiele ;(


      pzdr.
    • Gość: Kolobos Re: Wyjątkowy Problem!!! IP: *.warszawa.sdi.tpnet.pl 01.07.05, 21:54
      Jak sie resetuje? Wyswietla sie jakis komunikat/niebieski ekran? Co jest
      napisane w logach?
      Przetestuj ram memtestem, temperature sprawdz w Everest.

      W hijackthis usun:

      O23 - Service: ODSP Host Service (ODSP Host) - Unknown owner -
      c:\kontrola\ODSP\ODSPHost_NT.exe
      O23 - Service: Cryptainer service (ssoftservice) - Unknown owner - ssoftsrv.exe
      (file missing)

      Tutaj masz opis usuwania ODSP\ODSPHost_NT.exe
      securityresponse.symantec.com/avcenter/venc/data/spyware.dsktopsurveil.html
      I nie instaluj tego wiecej.
      • damiantk Re: Wyjątkowy Problem!!! 01.07.05, 22:13
        Bardzo dziękuję za wskazówki. =)
        Nie ma żadnego komunikatu (niestety) poprostu blach i reset (coś jak wywołany by był z rundll!)
        Możliwe że jest to wina upałów?
        • neder Re: Wyjątkowy Problem!!! 01.07.05, 22:16
          sprawdź może jeszcze temperatury programem everest
          forum.gazeta.pl/forum/72,2.html?f=34&w=15679891&a=22841379
          • Gość: damiantk Re: Wyjątkowy Problem!!! IP: *.neoplus.adsl.tpnet.pl 02.07.05, 08:34
            jeśli chodzi o temperaturki i program everest, mam ten progs i jakoś nie widzę opcji temperatury ani nic takiego... Gdzie to znaleźć?
      • Gość: damiantk Re: Wyjątkowy Problem!!! IP: *.neoplus.adsl.tpnet.pl 02.07.05, 08:27
        Co do ODSP Host_service, panowie z symanteca poszli na łatwiznę, gdyby można go było odinstalować przez dodaj/usuń programy dawno bym to zrobił. Może wywale go poprostu z dosa albo z drugiego systemu (oprocz XP mam win98 na drugiej partycji). Najzabawniejsze, że klucze z rejestru z RUN dawno wychrzaniłem a to gó.. się nadal uruchamia :-P
        • Gość: Kolobos Re: Wyjątkowy Problem!!! IP: *.warszawa.sdi.tpnet.pl 02.07.05, 12:52
          Everest zakladka czujniki nie mozna przegapic ;-)
          ODSP uruchamia sie jako usluga, a nie z run, uruchom
          Start->Uruchom->services.msc
          odszukaj:
          ODSP Host Service (ODSP Host) wejdz w jego wlasciwosci i nacisnij zatrzymaj,
          nastepnie zmien tryb uruchomienia na zatrzymany.
          W hijackthis wejdz w open misc tools i tam delete nt service i wpisz tam:
          ODSP Host po wszystkim skasuj katalog:
          c:\kontrola\ODSP\
          • neder Re: Wyjątkowy Problem!!! 02.07.05, 15:16
            > Everest zakladka czujniki nie mozna przegapic ;-)

            a czujnik jest pod zakładką Komputer ;p
Pełna wersja